Il responsabile della sicurezza dell'exchange di criptovalute Kraken, Nick Percoco, ha affermato di aver ricevuto un avviso che indicava una vulnerabilità "altamente critica" nel sistema che potrebbe aumentare artificialmente l'equilibrio della piattaforma. 🚨

La vulnerabilità, scoperta e risolta in Kraken, ha consentito agli aggressori di ricevere fondi sui propri conti senza l'intero processo di deposito. Il problema è sorto dopo un aggiornamento dell'interfaccia utente che ha consentito l'accredito dei fondi sui conti dei clienti prima che i loro asset fossero completamente liquidati.

È stato scoperto che tre account hanno sfruttato questa vulnerabilità in un breve periodo di tempo. Uno di questi account apparteneva al ricercatore di sicurezza che inizialmente ha scoperto e segnalato il bug nel sistema. Questi tre conti sono stati in grado di prelevare quasi 3 milioni di dollari dai conti Kraken.

Dopo che Kraken si è rivolto ai ricercatori di sicurezza con un'offerta di ricompensa per aver scoperto la vulnerabilità, i ricercatori si sono rifiutati di restituire i fondi finché l'exchange non avesse valutato il potenziale impatto finanziario del bug.

Secondo Percoco, l’incidente è percepito come un’estorsione piuttosto che come un’attività legittima di hacking white-hat. Ha sottolineato che Kraken considera un simile incidente come una questione penale e intende collaborare con le forze dell'ordine.

Il programma Bug Bounty supporta la missione di Kraken di mantenere gli utenti al sicuro nel mercato delle criptovalute. Nel 2023, il programma ha riconosciuto 22 segnalazioni su un totale di 461 domande. 💼